Talk voor themasessie “Brave new world: hoe veilig zijn mobiele gebruikers en hun apps” van Leuven.inc, 12 februari 2015

1. Mobile Security
Veiligheidsrisico's van mobiele toestellen en apps
Leuven.inc – 11 februari 2015
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )

2. Wie ben ik ?

Jan Guldentops (°1973)
• Dit jaar bouw ik 19 jaar server en netwerk infrastructuren
• Oprichter ULYSSIS (°1994), Better Access (°1996) en
BA (°2003)
• Open Source Fundamentalist (na mijn uren)
• Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
1996 beroepskrediet

Breng veel tijd door in het labo / R&D (vooral security)

4. Samengevat:
COMMON SENSE
AS A SERVICE
(CAAS)

5. Wat is security ?
HET GARANDEREN VAN CIA

6. Moeilijk evenwicht
➢ Moeilijke (soms onmogelijke) balans tussen :
➢ veiligheid
➢ functionaliteit
➢ gebruikersgemak
➢ budget

7. Prehistorie

8. Doorbraak
● 2002 Blackberry
● 2007 Iphone
● 2005 Google koopt
Android INC
● 2007 Open Handset
Alliance
● 2010 Nexus One

9. Toekomst ?
●
● Microsoft ?
● Android concurrentie
● Ubuntu Phone
● Andere spelers ?

10. Markt

11. Datacommunicatie
● Wifi
● is overal
● is quasi een mensenrecht geworden!
● Mobile data
● is betaalbaar geworden
● is enorm geëvolueerd
– 1G 2400 bauds
– 2G 9600 bauds
– 3G 384Kbit
– 4G theoretisch 100Mbit -> eerder 25Mbit
– Toekomst: tot 1Gbit
● Coverage :
– 64% Belgen hebben4G ( Proximus )

12. Appstores in the cloud
● Software-as-a-service
● Gerund vanuit een cloud infrastructuur
● Alle voordelen van dien :
– Pay what you use
– Elastisch
– Geen eigen infrastructuur
– Etc.
● Appstores
● Hele ecosystemen
● Revolutie in de software-wereld
● Er is voor alles een app die je met een swipe kan kopen.

13. Mobilisatie
● De perimeter is volledig verdwenen
● Mensen willen van overal met allerlei toestellen
werken
● Enorme consequenties op het vlak van :
● Netwerk
● Authenticatie
● Veiligheid
● Dataleakage
● Etc.

14. Consumerism
● Eindgebruiker zit in de driving seat
● Mobile device is een verlengstuk van je
persoonlijkheid,van wie je bent.
– Bring your own device
● Kopen zelf apps en gebruiken die
● Zij bepalen wat ze willen en wat er gaat
gebeuren.

15. Risico's
● Focus op mobiele toestellen en hun
toepassingen
● Smartphones
● Tablets
● Maar dit geld ook voor alle andere, minder sexy
mobiele devices
● Datadragers
● Laptops

16. Toegang tot het toestel
● Niveau 1: is je toestel vrij toegankelijk ?
● m.a.w. Iedereen die het in handen krijgt, kan ermee aan de slag.
● Niveau 2: afschermen van het toestel
● Pincode
● Password
● Schermvergrendeling met patronen
● Biometrie
– Face unlock
– Touchid ( fingerprint )
– Anderen :
● Iris

17. Te omzeilen
● Pincode raden – zien –
vragen
● Biometrie
● TouchID
– Geen sterke authenticatie
maar handig!
● Gezichtsherkenning
– Krissler
● Irisscan's

18. Gestolen / verloren toestel
● Data in rust
● Duidelijk leesbaar ?
● Forensic tools
– https://santoku-linux.com/
● Remote wipe
● Ben je in staat om de data te wissen ?
● Toestel op te sporen / traceren ?

19. Iphone analyser

20. Software van toestel zelf
● Is de software up-to-date ?
● Recente bugs in IOS, Android, etc.
– e.g. Man-in-the-middle attack vector voor IOS
● Jailbreaking ?
● Zorg dat de toestellen altijd up-to-date gehouden worden.
● Antivirus ?
● Zin en onzin ?
– Meeste zijn slecht van kwaliteit, spinoff producten
● Google: antivirus is onzin in 99% gevallen !

21. Malware / malicous apps
● Wat kan er misgaan ?
● Reklame
● De gegevens van en op het
toestel doorsturen
● SMSsen sturen
● Telefoongesprekken
opnemen
● Nog meer miserie creeëren
● Camera activeren
– Foto’s nemen

22. Malicous Apps
● Google Play / Apple Appstore
● In theorie doen ze quality control
● Tekenen applicaties.
● MAAR: omzeilbaar, slaan de bal er ook geregeld naast.
● Wil nog niet zeggen dat de apps echt veilig zijn :
● Data in rust?
● Veilige communicatie ?
● Security/problemen/updates

23. HTML5
● Actieve content toevoegen aan webpagina's
● Stelt je webcontent in staat om te praten met de
hardware van je omgeving
● Enorme mogelijkheden :
– e.g. Awingu
● Maar nieuwe attack vector

24. Backend
● Niet alleen apps moeten veilig zijn, ook het
backend waar ze mee communiceren !

25. Pas op met WIFI
● WIFI is een mensenrecht geworden
● Wanneer je naar een AP connecteert :
● Wie luister er mee ?
– Sniffing
● Ideale phishing toepassing
– Rogue Access Points
● Aanvallen op je systeem vanop die WIFI

26. Wifi en privacy

27. Waar moet je rekening mee
houden?
● Hou rekening met de risico's
● Denk na
● Beschouw mobile devices niet als iets
speciaals maar als toestellen als alle anderen.
● Opnemen in de security policy
● Gestructureerd beveiligen, eventueel met een
MDM oplossing

28. Eigen apps ontwikkelen
● Kies je development-tools en libraries goed !
● Kwaliteit, updates, begeleiding, crossplatform, etc.
● e.g. Recente problemen met openssl, libc, etc.
● Data op toestellen zelf
● Encrypted, zo beperkt mogelijk
● In eigen sandbox
● Veilige, geëncrypteerde applicaties
● Update-mechanisme
● Eventueel in een MDM omgeving of een Enterprise App store
● Testen en permanente verbeteringstrajecten

29. Internet of things
● Alles heeft vandaag de dag een ip-adres en wordt
aan het internet gehangen :
● Auto's
● Camera's
● Gebouw beheerssystemen
● Liften
● Telefoons / videoconferencing
● Veel van de omgevingen zijn hier niet klaar voor !

30. Internet of Sheep ( IoS )

31. Free VIP Tickets
http://ba.be/infosec/

32. Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
info@ba.be
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/